网络破解:恐惧错位了吗??

电力部门对于网络安全攻击的恐惧似乎每天都在被放大,因为新的脆弱性或破坏性的威胁行为者被发现。但据几位工业安全专家说,这种担心可能被夸大了,因为它常常没有考虑到从过去的攻击或企图的破坏中得到的行业洞察力和知识的不断扩大。金莎线上开户

这是“何时不“如果。”这是一个普遍存在于许多关于网络安全的广泛讨论中的公理。在日益紧密连接的环境中,安全问题和数字攻击正在上升,这听起来令人警惕。这是一个明确的警告,一个防守姿态在每个层面上都是必须的。

在电力部门,设施即将受到入侵或网络破坏的前景,系统,而大型电力系统上的设备往往伴随着危急资产故障的幽灵。干扰可能证明是麻烦和昂贵的,或者更糟,影响大电力系统的可靠性或可操作性,引起事故,或者跨越组织和地理边界进行级联。这些理所当然的严重担忧已经引起了政府和工业界的警惕,并促使他们争相设计全面和协作的防御战略。金莎线上开户美国能源部,例如,在2018年5月发布的多年能源部门网络安全战略中表示,威胁正在超过该部门最好的防守,“它还警告说,预防和应对网络事件的成本使公司保护关键基础设施的努力受到压力(图1)。它还列出了一长串持续的工业需求,金莎线上开户包括解决严重缺乏合格的网络安全专业人员的问题,更容易的信息共享,以及实时安全状态监测和风险评估面临的挑战。

1。阻止。人类是许多影响电力设施的网络安全风险的幕后黑手。资料来源:创意共享

然而,能源部的路线图也提供了充分的乐观。在确定目标活动的长列表的同时,研究开发,以及正在实施的示范项目,以实现更强的网络安全,它还调查了帮助预防的几种技术途径,检测,并减少网络事件。合作也相当广泛。该行业积金莎线上开户极参与网络安全风险信息共享计划,还有几家公司是公私合作的一部分,它们进行桌面演习和网络游戏模拟。散装电力系统的所有者和操作者,例如,参与北美电力可靠性公司。(NERC)被称为GridEx的网络安全演习。同时,为了保护自己,许多公司根据NERC(联邦能源管理委员会)制定的、经常变化的关键基础设施保护(CIP)标准,加大了战略和政策力度,以阻止潜在的违规行为。

而且,11月,专业从事工业网络安全的公司的专家告诉POWER,任何突破的成功与否,都为业界提供了学习的机会,金莎线上开户提高反应力和恢复力。电力部门面临大量攻击活动(参见侧栏,“电力部门的重大网络故障)由不同的威胁行为者实施并影响不同植物系统中的各种组件,专家们说。

电力部门的重大网络故障

电力部门面临着一系列针对工业控制系统(ICS)的网络攻击,其网络和工程复杂程度各不相同。这个基本列表,适用于电力部门,不按频率对实际违规行为进行排序,尽管了解攻击和攻击者的广泛性质可能有用。(更多,参见由瀑布安全解决方案汇编的白皮书,网址:www.bit.ly/瀑布安全。

#1ICS内幕。 一个不满的内部人员使用社会工程来窃取密码,从而触发一个或多个发电机组的关闭。

#2IT内部人员。访问IT网络的不满的内部人员使用社会工程来窃取密码,该密码能够对工程工作站上的人机接口系统的副本进行单独远程控制。

#3普通赎金软件。 意外下载到工程工作站并传播到工厂控制系统的其他部分。

#4目标赎金软件。 Spear-phishing在IT网络上播下远程访问木马(RAT)的种子,用于通过工厂控制系统故意传播赎金。

#5零日赎金软件。 包含零日Windows漏洞的随机软件通过IT/OT防火墙传播。

#6乌克兰攻击。 现在众所周知的第一代乌克兰攻击使用鱼叉钓鱼和远程访问,触发发电机组停机。

#7复杂的乌克兰攻击。一个众所周知的乌克兰攻击的变化-变化目标保护继电器和造成物理损害的涡轮机。

#8市场操纵。 一个有组织的犯罪集团利用面向互联网系统的已知漏洞来播种RAT,这些RAT最终用于模拟随机设备故障,触发工厂停工和实时电力市场波动。

#9复杂的市场操纵。类似的攻击以发电站的服务供应商为目标,作为向控制系统中播种对等RAT恶意软件和模拟随机故障的手段。

#10手机Wi-Fi。鱼叉钓鱼和木马手机应用的结合为攻击者提供了访问控制系统Wi-Fi网络的途径。

#11劫持双因素。复杂的恶意软件允许攻击者在远程用户通过双因素身份验证登录之后劫持远程桌面/虚拟专用网络会话。

#12工业物联网(IIoT)枢纽。黑客通过防御不力的云供应商进入ICS。

#13恶意外包。 远程服务供应商的不满员工在工作的最后一天在重要的控制服务器上配置一个简单的定时炸弹。

#14折衷供应商网站。 黑客利用受损供应商的网站将恶意软件插入软件更新中,针对特定的生成站点。

#15受损远程站点。远程变电站的物理破坏允许在远程站点隐藏具有Wi-Fi连接的笔记本电脑,该连接稍后用于攻击中央工厂。

#16供应商后门。黑客类攻击者发现了一个供应商的后门,该后门为防御不力的供应商的网站提供了对发电控制组件的远程控制,其名称为“远程支持。”“

#17Stuxnet。Stuxnet类攻击通过危害站点的服务供应商并设计自治性来攻击防御性很强的站点,零日恶意软件。

#18硬件供应链。情报机构级别的攻击拦截旨在升级工厂分布式控制系统(DCS)的新计算机并插入无线设备,遥控设备进入电脑。

#19国家-国家密码妥协。国家级攻击通过窃取证书颁发机构的私钥来破坏公钥基础设施,或者通过破坏密码算法,例如SHA-256,允许他们伪造安全更新。

#20复杂,ICS内部认证。ICS内部人员与复杂的网络攻击组织的利益保持一致,故意与组织合作,创建复杂的恶意软件,并将其播种到工厂控制系统中。

-安德鲁·金特,副总裁,工业安全,瀑布安全解决方案。

虽然大多数公司同意理解违约的性质很重要,一些人警告不要根据频率或严重程度对攻击类型进行分类或排名,说这很困难(或毫无意义)。其他的,像瀑布安全解决方案,推荐一套标准的前20名工业控制系统(ICS)攻击可以作为一种方法,将网络破坏风险传递给决策者不熟悉网络安全细节的人,“尤其适用于低频,高影响(LFHI)类型的攻击,其统计数据很少。”“

主动性是关键,传统方法有效

所有接受面试的公司功率,然而,同意阻止违反,电力公司应采取积极主动的方法,要求深层探测,“这指的是采用多层安全性,比如加强对渗透性障碍的监控,比如信息技术(IT)-运营技术(OT)网络鸿沟。正如许多人所建议的,如果发生违约,公司必须准备有具体的调查能力和事故应对计划。

总部位于马里兰州的Dragos公司——一家ICS网络安全公司,它跟踪七个明确针对ICS网络并在ICS网络内操作的指定活动组(并建议)还有更多的活动尚未归类,我们怀疑还有更多的公司在全球经营-特别强调主动性在早期发现或补救威胁方面的价值。“当前ICS威胁防御者面临的迷人特征是它们之间的共享交易技术。虽然造成影响的每个威胁的最后一个因素是“新颖的”——导致这种情况发生的数月和数年的行动令人惊讶地普遍,“它说。而不是聚焦于小说“ICS攻击的组成部分,该公司敦促捍卫者将注意力集中在整个对抗过程上杀人链-包括初始访问,横向运动,情报收集,这可能需要数月或数年后才会中断,它指出。

“例如,Dragos监控的几乎每个ICS入侵都始于工业环境外部的远程访问,或者来自受损的VPN[虚拟专用网络]凭证,或者来自[第三方]供应商,或者使用电子邮件钓鱼和战略性网络折衷(即,“水坑”)。这些对手把重点放在密码窃取上,伪装成合法用户,“它说。但对于德拉戈斯,因为威胁行为者很少利用,如果有的话,零日漏洞-软件供应商知道但没有修补程序的软件安全缺陷-”成功是可以实现的使用“传统的方法。”“

作为托马斯·波普,德拉戈斯的对手猎人,告诉功率,“所以,真的?这又回到了资本理论,即你需要防止墙被破坏,但问题是你必须让电子邮件进入,所以你允许攻击者进来,因为你必须,所以你必须想出另一种办法来击退他们,“他说。塞琳娜·拉森,德拉戈斯英特尔分析师强调的,“钓鱼是一种非常常见的感染载体,而且非常成功。”水洞袭击也是"相当普遍,像钓鱼,“而这些可以通过培训和认识来阻止,她说。

风险管理的价值不可低估

雷格·哈尼什,格雷卡斯尔安全公司的首席执行官,专门从事关键基础设施的网络安全服务提供商,还赞同广为宣传的方法,不过他指出,网络安全仍在发展。“我们还在学习一些东西,最终(也许10年后),那会成为你做生意时要做的事情之一。”现在,他建议参与电力生产和分配的任何人(图2)采取第一个关键步骤,了解他们的风险是什么。“这就是风险评估的概念,但这不是一个普遍的术语,“他注意到。然而,“如今的组织如此复杂,以至于很难盘点或知道自己拥有什么。直到你知道,要确保它相当困难。”“

2。连接植物。电力部门面临大量网络安全攻击活动。攻击是由不同的威胁行为者实施的,并且影响不同工厂系统中的各种组件。资料来源:创意共享/力量

风险容忍度.——”你还好吧-同样重要,他说。解决这两个问题的一种有效方法是通过美国国家标准与技术研究所(NIST)特别出版物800-30和800-37,这将允许捍卫者决定他们应该做什么,他们应该按照什么顺序去做,他们应该做多少。“我认为,直到组织这样做,大多数投资于网络安全,但这并不能真正改善他们的地位——他们把钱花在错误的事情上,或者按照错误的顺序做事。”“

哈尼什还敦促企业解决劳动力问题。“每一个风险都降临到人类身上,“他说。“如果您还没有弄清楚如何承担人类引入您的组织的风险,并改变该等式,以便他们保护您的组织,而不是利用或使其脆弱,那么网络安全就变得非常困难了。”“

最后的关键教训是确保组织具有定制的响应能力,哈尼什说。“你必须问,你的能力是什么?你的未来战略是什么?这样,当某事发生时,你知道该给谁打电话,你知道如何激活你的反应计划,你知道如何衡量成功,你知道如何追踪事件和其他各种事情。”“

准备防守肌肉

埃德加·卡普德维耶,Nozomi网络总裁兼首席执行官,ICS网络安全公司,提供实时可见性监控和数据采集(SCADA)应用,同样,请注意网络安全策略的演变(图3)。“安全永远是猫捉老鼠的游戏,但是在IT领域,猫捉老鼠的游戏是相当复杂的。随着时间的推移,猫和老鼠都有些好转了。”但他指出,在OT中,“我们没有那么复杂的水平。”原因之一是突破的频率仍然相差很远,“他说。这是个好消息,但也令人担忧。“OT违规行为需要恶人掌握很多技能,但是他们没有真正的动机,除了意识形态。”OT方面的许多突破来自民族国家,他注意到。“但我们需要做好准备,如果动机一致,这是我们大家都期待的……事实上,我们从来没有在这个前线为自己辩护过,我们的防御肌肉还没有准备好,“他说。

三。威胁载体。网络安全漏洞——成功与否——为业界提供了学习的机会,金莎线上开户提高反应力和恢复力。资料来源:创意共享

Capdevielle强调,理解为什么工业没有准备好是很重要的。金莎线上开户从20世纪70年代开始,他解释说,发电和传输部件及相关控制系统的所有者开始使许多手工过程自动化,合并IT和OT系统,以提高可靠性和效率。最近,主要是由于陈旧,不断上涨的维护费用,提高了效率,金莎线上开户工业也正在向着连接更紧密的发电厂转移,安装更多的智能设备和智能设备。然而,更智能控制的部署也增加了系统暴露的脆弱性,这可能造成广泛的影响。“工业控制网络具有物理上不允许连接的不同技术,“他注意到。“实际上,在过去10年中,现在OT端已经真正采用了TCP/IP[传输控制协议/互联网协议]或标准连接。但是,我们被否认,我们可以气隙-保持他们完全分开-即使底层技术是设计来连接的。”Nozomi指出这一点否认“作为问题的症结所在。“无论我们走到哪里,人们发誓他们的网络有漏洞,并且具有超高度的统计证明,我们可以向他们展示,我们用肉体向他们展示,这是不正确的,“Capdevielle说。

然而,和其他专家一样,Capdevielle建议如果你从基础知识开始,你会没事的。”他提出的第一件事情是提高工业网络的可见度。“识别所有网络资产,“他说。“你应该能够清点它们,检测这些资产中的漏洞,您应该能够通过做出与您是否以自己的优先级和速度修补这些资产相关的风险管理决策来决定能够容忍什么风险级别。如果你那样做,你正在保护自己免受潜在60%的伤害,“他说。下一步将需要通过密切注意异常情况来持续监测这些网络,积极进行威胁搜寻,确保实施的工业安全保障措施与整体安全环境的其余部分紧密相连。“这应该是IT/OT融合的一部分,“Capdevielle注意到。ω

-圣帕特尔是一个POWER关联编辑器。